Jump to content
Yura

Время Привязки К Ip Призрака Наличия Там Шифрованного Клиента

Recommended Posts

Ой, не понял как такая тема получилась :)

Правильно будет "Время привязки к ip признака наличия на нём шифрованного клиента".

Здравствуйте.

Сервер (он же контроллер домена, он же dhcp) выдаёт адреса клиентам. Клиенты могут быть c vipnet client, так и без.

Если випнет на сервере установил связь, что на определенном ip был vipnet клиент, то в дальнейшем ждёт и готов обмениваться с этим ip только шифрованным трафиком.

Проблема начинается когда этот "грязный" адрес получает клиент без випнета. В результате связи (по правилам открытой сети) нет. Конкретно мне нужен от сервера dns.

Вопрос: существует ли таймаут, после которого vipnet клиент "забудет" привязку ip к статусу "надо шифровать"?

Если существует, возможно ли его регулировать?

Какие потенциальные проблемы могло бы вызвать уменьшение этого таймаута, скажем до 1 часа?

Спасибо.

Share this post


Link to post
Share on other sites

Надо подумать, прошу написать запрос в техподдержку, желательно нарисовать схему, где какой Клиент с ViPNet и без, где сервер. Возможно, будет предложение не ставить Клиента на сервер, а протуннелировать его.Но это пока только предположение. > Если випнет на сервере установил связь, что на определенном ip был vipnet клиент, то в дальнейшем ждёт и готов обмениваться с этим ip только шифрованным трафиком.

- по идее, как только у клиента, который зарегистрирован на сервере как защищенный, сменится адрес и об этом узнает Клиент сервера DHCP.

Share this post


Link to post
Share on other sites

Извиняюсь за ожидание. Да, такая проблема может быть, до тех пор, пока Клиент с "протухшим адресом" не получает в аренду новый адрес и не связывается с Координатором, предыдущий адрес остается зарегистрированным на Клиенте Сервера для него, а значит открытый узел, который его получил, не свяжется с сервером. Пока хорошего решения как избежать проблемы нет, кроме предложения развести пулы адресов, которые может получить защищенный и открытый компьютер (если такое возможно), так как сложно надеяться, что Клиенты будут регулярно включены и доступны Координатору для регистрации за ними нового адреса. Можно попробовать рассмотреть вариант с изменением схемы за счет туннелирования сервера- смысл которого в том, что открытые компьютеры получат адрес по открытому каналу, а защищенные - по защищенному. Но без знания общих требований к организации доступа правильный совет дать трудно.

Share this post


Link to post
Share on other sites

Остановился на таком обходном решении проблемы.

Для этого правда пришлось развернуть отдельный DHCP сервер на базе Windows 2012, так как в используемом ранее 2008R2 функциональности назначения адресов из определенного диапазона в зависимости от DHCP класса.

1) На рабочих станция с Vipnet выполняем (вручную или логин скриптом)

ipconfig /setclassid "Подключение по локальной сети" vipnet

2) На DHCP сервере "Определить классы пользователей" - "Добавить" - ввести название випнет и в ASCII данные ввести vipnet

3) В нужной области добавить политику в зависимости от имени класса пользователя = "vipnet" и в ней назначить диапазон адресов для машин с випнетом.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.